UEFI安全引导，如何检查(或将) PCIE设备(固件)？

Question

最近，我正在搜索关于PCIe设备是否涉及uefi安全引导的信息，如果是，是如何完成的。

从uefi规范中，主引导顺序大致如下所示: Platform init -> load EFI映像(也可以加载EFI驱动程序/应用程序)-> load EFI OS加载程序->引导结束。

这意味着如果PCIe设备参与了安全引导，那么它应该出现在EFI驱动程序加载阶段，例如驱动程序(设备的固件？)校验和/散列可以计算和检查。

然而，搜索PCIE安全引导并没有提供多少信息。

到目前为止，我已经找到了两个消息来源。首先，一个HPE帖子(https://techlibrary.hpe.com/docs/iss/proliant_uefi/UEFI_TM_030617/s_configure_secure_boot.html)解释安全引导为

安全启动验证了引导过程中下列组件的软件标识：

1. UEFI驱动程序从PCIe卡

加载

从大容量存储设备加载的

1. UEFI驱动程序

预引导UEFI shell applications

1. OS UEFI引导加载程序

这似乎符合我的假设。但是我的问题是，(如果我错了请纠正我)，如果提供电源，PCIe设备会自动启动，那么如果恶意的PCIe uefi在检查之前被引导，那么上面的HPE方式如何保证不会造成任何伤害？

第二种是来自NVIDIA A100卡(https://www.nvidia.com/content/dam/en-zz/Solutions/Data-Center/a100/pdf/PB-10577-001_v02.pdf)。

基本上，nvidia在GPU卡中有一个专用的硬件信任根，因此PCIe安全引导(甚至是测量引导)是与平台(主板/cpu/os.)分开执行的。uefi安全引导流。

我的问题是，

与经典uefi安全引导相关的

1. PCIe (或uefi固件)？
2. PCIe uefi驱动程序和PCIe uefi
3. 驱动程序之间的区别是正确的/最接近安全引导概念、HPE或nvidia的？

。

Answer 1

嗯，在谷歌上搜索并与专业人士交谈后，我将尝试回答我自己的问题。

会在经典的uefi安全引导中涉及PCIe (或其uefi固件)吗？

不，不包括pcie设备。

PCIe uefi驱动程序和PCIe uefi固件有什么区别？

它们是两种不同的东西。PCIE设备固件更复杂，因为它们更多地包含EFI/BIOS +一个微型/微型操作系统。然而，据我所知，pcie uefi驱动程序是由主机/mobo efi使用该设备，以为efi是一个小os。

是正确的/最接近安全引导概念的哪种方式，HPE的还是NVidia的？

由于您需要在pcie设备上使用TPM/HSM来测量/检查设备efi。